Crypto platform 3Commas admits hackers stole API keys

昨日、匿名の Twitter ユーザーが、3Commas 暗号通貨取引プラットフォームから取得したとされる 10,000 個の API キーのセットを公開しました。

3Commas ボットは、これらの API キーを使用して、アカウント資格情報を必要とせずに暗号通貨取引所とやり取りすることで顧客に利益をもたらし、ユーザーに代わって自動化された投資および取引アクションを実行します。

Twitter ユーザーは、漏洩したセットは、保持している 100,000 個の API キーの 10% にすぎないと主張し、数日中にすべてを公開する予定であると述べました。

3Commas は漏洩したデータを調査し、本日、ファイルに有効な API キーが含まれていることを確認しました。その結果、プラットフォームは現在、Kucoin、Coinbase、Binance など、サポートされているすべての取引所に対して、3Commas に接続されているすべてのキーを取り消すよう促しています。

3コマ発表

ユーザーは、リンクされているすべての取引所で自分のキーを自分で再発行し、3Commas サポートに連絡して、その後のアクションについて個別にアドバイスを受けることをお勧めします。

さらに、プラットフォームは、リークが内部の仕事である可能性を調査したが、その証拠は見つからなかったと主張しています.

3Commas の Twitter での発表には、「インフラストラクチャにアクセスできるのは少数の技術担当者だけでした。11 月 19 日以降、彼らのアクセス権を削除する措置を講じています。

「それ以来、私たちは新しいセキュリティ対策を実施しており、それだけにとどまりません。法執行機関が関与する完全な調査を開始します」と同社は付け加えました。

残念ながら、3Commas は侵害を確認するのに時間がかかりました。そのユーザーの多くは、アカウントからの一見無許可の取引により、過去数か月間ですでに資金を失っています。

前の否定

3Commas を介してトリガーされた不正取引の最初の報告は 2022 年 10 月に行われ、ここ数週間で最高潮に達しました。

11 月には、3Commas がなんらかの形で資格情報を漏洩した後、相当額の保有者が約6,000,000 ドル相当の仮想通貨を失ったと報告しました。

この間、取引プラットフォームは侵害の可能性を否定しており、これらの問題を報告したユーザーはフィッシング攻撃の犠牲になったか、非公式のトロイの木馬化されたアプリを使用したにちがいないことを示唆しています.

2022 年 12 月 10 日、漏洩した API キーを使用した不正なトランザクションに関するいくつかのその後の報告の後、3Commas は、システムに侵害の証拠を見つけることができなかったと主張する調査の最新情報を公開しました。

翌日、プラットフォームは、従業員がユーザー API キーを盗んでユーザー資産を吸い上げているという主張を拒否する新しい投稿を公開しました。

不正な取引に関する報告が会社によって拒否された 3Commas ユーザーは、現在、全額返金を要求しています。

出版の時点で、3Commas は補償の可能性について何の声明も出していません。この件に関しては会社に連絡を取り、返答を待っています。